auftragsverarbeitung kosten meldung datenschutzbeauftragter prüfung baylda

Meldung von Datenschutzbeauftragten – Zwischenbilanz aus Bayern

/von

Anfang des Jahres haben wir uns bereits mit einem Artikel zum Thema der „Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde“ beschäftigt. Ende August 2018 veröffentlichte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) eine Pressemitteilung, aus der hervorgeht, dass über das Online-Portal, welches am 17. Juli 2018 freigeschaltet wurde, bis dato mehr als 10.000 Verantwortliche ihre Datenschutzbeauftragten an die Behörde gemeldet haben.

Aktuelle Situation in anderen Bundesländern?

Wie sieht es jedoch mit der Meldung des Datenschutzbeauftragten (DSB) aktuell aus? Wie kann ein Unternehmen seinen Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde melden? Und was meint die jeweilige Behörde in diesem Zusammenhang wissen zu müssen (zu dürfen)? Sind der jeweils zuständigen Behörde nach wie vor sehr umfangreiche Informationen über den Datenschutzbeauftragten mitzuteilen?

Nach wie vor ein Meldungs-Chaos

Wir machten uns ein Bild und stellten dabei fest, dass es bei den Aufsichtsbehörden nach wie vor keine einheitliche Linie gibt. Je nach Bundesland gibt es zum Teil sehr unterschiedliche Regelungen bezüglich der zu erstellenden Meldung.

Die einzelnen Behörden fragen sehr unterschiedliche Informationen ab und gestalten den Prozess der Meldung sehr uneinheitlich. Es gibt Behörden, die ein Online-Formular entweder mit oder ohne eine zuvor durchzuführende Registrierung zur Verfügung stellen. Andere Behörden bitten um die Einsendung einer (formlosen) Meldung per E-Mail.

Weiterhin verlangen die meisten Behörden mehr als nur die Kontaktdaten des DSB. Die meisten erheben neben einer E-Mail-Adresse und einer Telefonnummer (zum Teil auch obligatorisch) den Namen, Vornamen, Anschrift und die Telefonnummer des DSB.

Dadurch entsteht eine widersprüchliche Situation. Auf der einen Seite verpflichtet die DSGVO die Verantwortlichen, personenbezogene Daten möglichst sparsam zu erheben, auf der anderen Seite erwarten die Behörden deutlich mehr Informationen als es die DSGVO vorgibt. Unseres Erachtens ist dies ein Verstoß gegen Art. 5 DSGVO, da das Prinzip der Datensparsamkeit verletzt wird. Denn nach der DSGVO in ihrer aktuellen Fassung ist der Verantwortliche gemäß Art. 37 Abs. 7 DSGVO lediglich verpflichtet, die Kontaktdaten des DSB der zuständigen Behörde mitzuteilen. Weitere Daten sind gemäß DSGVO nicht zur Verfügung zu stellen. Die Aufsichtsbehörde in Berlin hat die DS-GVO diesbezüglich übrigens besser verstanden und verlangt zur Meldung nur die nach DSGVO notwendigen Daten.

Wenn die Behörde die erhobenen personenbezogenen Daten des DSB verarbeitet, müsste sie den jeweiligen Datenschutzbeauftragten nach Art. 14 DSGVO über die Datenverarbeitung innerhalb eines Monats informieren. Uns ist bisher nicht bekannt, dass die Behörden, diese Informationen zur Verfügung stellen.

Wie könnte eine Problemlösung aussehen?

Es ist schade, dass man es versäumt hat, nach dem Vorbild der Zentralen Anlaufstelle (ZASt), die Meldung des Datenschutzbeauftragten bundesweit zu koordinieren und zur Vereinfachung (und Entbürokratisierung) einheitlich zu gestalten. Denn auf europäischer Ebene scheint es ja zu funktionieren. Bezüglich der Funktionsbeschreibung der ZASt findet man auf der Seite der BfDI folgende Beschreibung: „Die Zentrale Anlaufstelle koordiniert im europaweit einmaligen föderalen deutschen System mit Datenschutzbehörden des Bundes und der 16 Bundesländer die grenzübergreifende Zusammenarbeit mit den anderen Mitgliedstaaten der Europäischen Union, dem Europäischen Datenschutzausschuss (EDSA) und der Europäischen Kommission.“

Ob man auf nationaler Ebene hier tatsächlich eine Art zentraler Anlaufstelle ins Leben ruft oder sich lediglich besser koordiniert und abspricht, ist letztlich unerheblich. Woran es liegt, dass eine solche überregionale Abstimmung auf nationaler Ebene bisher ausgeblieben ist, wissen wir nicht. Aktuell haben wir es jedenfalls mit einer bunten Vielfalt an Meldemöglichkeiten (oder auch -unmöglichkeiten) zu tun, was böse Zungen als Flickenteppich bezeichnen.

Fazit

Es gibt für die Verantwortlichen bisher also keine Gewissheit, wie eine rechtskonforme Meldung des Datenschutzbeauftragten vorzunehmen ist. Unter den gegebenen Umständen ist auch eine zufriedenstellende Beratung unserer Mandanten teilweise schwierig.

Ein solches Vorgehen ist ein schlechtes Signal an die ohnehin verunsicherte Öffentlichkeit und trägt auch wenig dazu bei, das teilweise schlechte Image der DSGVO unter den Verantwortlichen zu verbessern. Deshalb hoffen wir, dass die zuständigen Behörden künftig für mehr Rechtssicherheit sorgen, indem sie ihr Handeln auch auf nationaler Ebene besser abstimmen und untereinander mehr kooperieren.

Haben Sie Fragen zur Benennung eines/einer Datenschutzbeauftragten? Sind Sie unsicher bezüglich einer Pflicht zur Benennung? Benötigen Sie Unterstützung bei der Meldung an die Aufsichtsbehörde? Wir unterstützen Sie gerne!

Das könnte Sie auch interessieren
aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61bDie Göttinger Erklärung der Datenschutzbehörden des Bundes und der Länder
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert verschlüsselungAnforderungen an die Datenschutzerklärung einer Website
betriebliches Eingliederungsmanagement bem dienstleisterBEM – das betriebliche Eingliederungsmanagement
datenpanne meldepflicht passwörter bsi tom fidoDer richtige Umgang mit Datenpannen – Meldepflicht oder nicht?
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogenAufsichtsbehörden prüfen Datenübermittlungen ins Ausland
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichEuGH kippt PrivacyShield – was ist jetzt zu tun?
Datenübermittlung in Drittländer im Kontext der DSGVOprivacy shield safe harbor usa übermittlung ausland drittländer drittstaat binding corporate rules bcr angemessenheitsbeschluss japanbdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungPflicht zur Benennung von Datenschutzbeauftragten für Notare